特表2023-507651医療検査に関するデータ交換を管理する方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-02-24
(54)【発明の名称】医療検査に関するデータ交換を管理する方法及びシステム
(51)【国際特許分類】
H04L 9/32 20060101AFI20230216BHJP
G06F 21/44 20130101ALI20230216BHJP
G06F 21/33 20130101ALI20230216BHJP
G06F 21/60 20130101ALI20230216BHJP
A61B 8/00 20060101ALI20230216BHJP
【FI】
H04L9/32 200B
H04L9/32 200F
G06F21/44
G06F21/33
G06F21/60 360
A61B8/00
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022538167
(86)(22)【出願日】2020-12-21
(85)【翻訳文提出日】2022-08-16
(86)【国際出願番号】 EP2020087458
(87)【国際公開番号】W WO2021123431
(87)【国際公開日】2021-06-24
(31)【優先権主張番号】1915204
(32)【優先日】2019-12-20
(33)【優先権主張国・地域又は機関】FR
(81)【指定国・地域】
(71)【出願人】
【識別番号】522243510
【氏名又は名称】イー―スコピクス
【氏名又は名称原語表記】E-SCOPICS
(74)【代理人】
【識別番号】100094640
【弁理士】
【氏名又は名称】紺野 昭男
(74)【代理人】
【識別番号】100103447
【弁理士】
【氏名又は名称】井波 実
(74)【代理人】
【識別番号】100111730
【弁理士】
【氏名又は名称】伊藤 武泰
(74)【代理人】
【識別番号】100180873
【弁理士】
【氏名又は名称】田村 慶政
(72)【発明者】
【氏名】コーエン―バクリ、クロード
(72)【発明者】
【氏名】ベッソン、アドリアン
(72)【発明者】
【氏名】ウィンゼンリート、フレデリク
(72)【発明者】
【氏名】ベルトラン、リュック
(72)【発明者】
【氏名】ギファール、エリック
【テーマコード(参考)】
4C601
【Fターム(参考)】
4C601EE10
4C601KK34
4C601LL21
(57)【要約】
本発明は、プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブ(1)、端末公開鍵を含む端末デジタル証明書を含むメモリを含む端末(2)、リモートプラットフォーム(3)であって、プローブデジタル証明書をプローブに送り、端末デジタル証明書を端末に送るように構成される、リモートプラットフォーム(3)の間でのデータ交換を管理する方法であって、方法が認証手順の実施を含み、認証手順が、プローブが端末デジタル証明書から端末の身元識別を検証する第1のステップ、端末がプローブデジタル証明書からプローブの身元識別を検証する第2のステップ、及びプローブ、端末、及びプラットフォームが各々、プローブ公開鍵及び端末公開鍵から同一のセッション鍵を生成する第3のステップからなる管理方法に関する。
【特許請求の範囲】
【請求項1】
患者の医療検査の手順中、データ交換を管理する管理方法であって、前記方法は、プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブ(1)、
有線又は無線通信手段を介して前記プローブと通信可能な端末(2)であって、前記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末(2)、
インターネット等のコンピュータネットワークを介して前記端末と通信可能なリモートプラットフォーム(3)であって、前記プラットフォームは、
前記プローブデジタル証明書を前記プローブに発行すること、
前記端末デジタル証明書を前記端末に発行すること
を行うように構成される、リモートプラットフォーム(3)
の間での前記データ交換の前記管理を可能にし、前記方法は、前記検査手順の実施に先立って、認証手順の実施を含み、前記認証手順が、
前記プローブが前記端末デジタル証明書に基づいて前記端末の前記身元識別を検証する第1のフェーズと、
前記端末が前記プローブデジタル証明書に基づいて前記プローブの前記身元識別を検証する第2のフェーズと、
前記プローブ、前記端末、及び前記プラットフォームが各々、同一のセッション鍵を生成する第3のフェーズであって、前記セッション鍵は前記プローブ公開鍵及び前記端末公開鍵に基づいて生成される、第3のフェーズと、
を含むことを特徴とする管理方法。
【請求項2】
前記同一のセッション鍵は、前記プローブ、前記端末、及び前記プラットフォームによって独立して生成され、前記プローブ公開鍵及び前記端末公開鍵はそれぞれ、前記セッション鍵が前記通信手段及び/又は前記コンピュータネットワークを介して前記プローブ、前記端末、及び前記プラットフォームの間で交換されないように、前記プローブの前記メモリ、
前記端末の前記メモリ、及び
前記プラットフォームのストレージユニット
に記憶される、請求項1に記載の管理方法。
【請求項3】
前記セッション鍵は、前記検査の前記実施中、前記プローブ、前記端末、及び前記プラットフォームの間で交換される対称暗号モードデータに従って暗号化するのに使用される、請求項1又は2に記載の管理方法。
【請求項4】
前記第1のフェーズは、前記端末デジタル証明書を含むペアリング要求を前記端末によって送信するステップ、
前記プローブによって前記ペアリング要求を受信し、前記端末デジタル証明書を抽出するステップ、
前記プローブにより、前記プローブの前記メモリに含まれるプラットフォーム公開鍵を使用して前記端末デジタル証明書の真正性を証明することによって前記端末デジタル証明書を検証するステップ、
を含む、請求項1~3の何れか1項に記載の管理方法。
【請求項5】
前記第1のフェーズは、前記端末デジタル証明書が真正である場合、検証情報を前記プローブと前記端末との間で交換することであって、前記検証情報は、前記端末の前記メモリに記憶された前記端末公開鍵及び端末秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
前記端末デジタル証明書が真正ではない場合、前記プローブによってアラートメッセージを送信するステップ
を更に含む、請求項4に記載の管理方法。
【請求項6】
前記検証情報を交換するステップは、前記プローブにより、前記端末デジタル証明書に含まれる端末公開鍵を抽出すること、
前記プローブによって検証情報を生成すること、
前記プローブにより、前記端末公開鍵を用いて前記検証情報を非対称暗号化すること、
前記プローブにより、前記端末公開鍵を用いて暗号化された前記検証情報を含む応答メッセージを送信すること、
前記端末により、前記応答メッセージを受信し、前記端末の前記メモリに記憶された端末秘密鍵を使用して前記検証情報を暗号化解除すること、
前記端末により、前記暗号化解除された検証情報を含む確認メッセージを送信すること、
前記プローブによって前記確認メッセージを受信すること、
前記プローブにより、前記確認メッセージに含まれる前記暗号化解除された検証情報を前記プローブによって送信された前記応答メッセージに含まれる前記検証情報と比較して、前記検証情報が同一であるか、それとも異なるかを定義すること、
前記検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
前記検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
で構成されるサブステップを含む、請求項5に記載の管理方法。
【請求項7】
前記第2のフェーズは、前記端末により、前記プローブによって送信された結果メッセージを受信することであって、前記プローブデジタル証明書は前記結果メッセージに組み込まれる、受信するステップ、
前記端末によって前記プローブデジタル証明書を抽出するステップ、
前記端末デジタル証明書の署名を前記端末の前記メモリに含まれるプラットフォーム公開鍵と比較することにより、前記プローブデジタル証明書の前記真正性を前記端末によって検証するステップ、
を更に含む、請求項1~6の何れか1項に記載の管理方法。
【請求項8】
前記第2のフェーズは、前記プローブデジタル証明書が真正である場合、前記プローブと前記端末との間で検証情報を交換することであって、前記検証情報は、前記プローブのメモリに記憶された前記プローブ公開鍵及びプローブ秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
前記プローブデジタル証明書が真正ではない場合、前記端末によってアラートメッセージを送信するステップ、
を更に含む、請求項7に記載の管理方法。
【請求項9】
前記検証情報を交換するステップは、前記端末により、前記プローブデジタル証明書に含まれる前記プローブ公開鍵を抽出すること、
前記端末によって検証情報を生成すること、
前記端末により、前記プローブ公開鍵を使用して前記検証情報を非対称暗号化すること、
前記端末により、前記プローブ公開鍵を用いて暗号化された前記検証情報を含む正当化メッセージを送信すること、
前記プローブにより、前記正当化メッセージを受信し、前記プローブの前記メモリに記憶されたプローブ秘密鍵を使用して前記検証情報を暗号化解除すること、
前記プローブにより、前記暗号化解除された検証情報を含む証明メッセージを送信すること、
前記端末によって前記証明メッセージを受信すること、
前記端末により、前記証明メッセージに含まれる前記検証情報を前記端末によって送信された前記正当化メッセージに含まれる前記検証情報と比較して、前記検証情報が同一であるか、それとも異なるかを定義すること、
前記検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
前記検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
で構成されるサブステップを含む、請求項8に記載の管理方法。
【請求項10】
前記方法は、認証手順の実施に先立ってサブスクリプション手順を含み、前記サブスクリプション手順において、前記端末は、プローブ識別子、端末識別子、及び前記端末公開鍵を含む検査要求メッセージを前記プラットフォーム送信し、
前記プラットフォームは、プラットフォーム公開鍵を含むプラットフォーム証明書及び前記端末公開鍵を含む端末証明書を含むペアリング許可メッセージを前記端末へ送信する、請求項1~9の何れか1項に記載の管理方法。
【請求項11】
患者の検査の手順中、データを交換するシステムであって、プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブ(1)と、
有線又は無線通信手段を介して前記プローブと通信可能な端末(2)であって、前記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末(2)と、
インターネット等のコンピュータネットワークを介して前記端末と通信可能なリモートプラットフォーム(3)であって、前記プラットフォームは、
前記プローブデジタル証明書を前記プローブに発行すること、
前記端末デジタル証明書を前記端末に発行すること
を行うように構成される、リモートプラットフォーム(3)と、
を備え、前記プローブ(1)、前記端末(2)、及び前記プラットフォーム(3)は、前記検査手順の実施に先立って認証手順を実施するのに適した手段を含み、前記認証手順が、
前記プローブが前記端末デジタル証明書に基づいて前記端末の前記身元識別を検証する第1のフェーズと、
前記端末が前記プローブデジタル証明書に基づいて前記プローブの前記身元識別を検証する第2のフェーズと、
前記プローブ、前記端末、及び前記プラットフォームが各々、同一のセッション鍵を生成する第3のフェーズであって、前記セッション鍵は前記プローブ公開鍵及び前記端末公開鍵に基づいて生成される、第3のフェーズと、
を含むことを特徴とするシステム。
【請求項12】
前記プローブ、前記端末、及び前記プラットフォームは、請求項2~10に記載の管理方法のフェーズ、ステップ、及びサブステップを実施する手段を含む、請求項11に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービスセキュリティの一般技術分野に関する。
【0002】
特に、本発明は、
データ 例えば医学的なデータ、及び/又は制御データ、及び/又は監視データ 通信ネットワークにおいて交換するエンティティの認証、及び
一方では機密性、他方では信頼性を保証するための交換されるデータの暗号化
を可能にする方法に関する。
データ 例えば医学的なデータ、及び/又は制御データ、及び/又は監視データ 通信ネットワークにおいて交換するエンティティの認証、及び
一方では機密性、他方では信頼性を保証するための交換されるデータの暗号化
を可能にする方法に関する。
【0003】
本発明は、関連する、認証及び暗号化のシステムにも関する。
【0004】
より詳細には、本発明は、データ取得及び転送解決策の先進適用:電子化された超音波検査に関する。
【背景技術】
【0005】
超音波像は、非侵襲的性質、比較的低コスト、及び有害な電離放射線への患者の暴露がないことに起因して多くの診断手順で使用されている。
【0006】
過去数年、新たないわゆる「ウルトラポータブル」超音波検査解決策が開発され、ウルトラポータブル超音波検査解決策では、プローブによって取得された-及び任意選択的に処理された-データは、通信ネットワーク-インターネットネットワーク等-を使用してリモートストレージ及び/又は処理プラットフォーム-「クラウド」の名で知られている
に送信される。
に送信される。
【0007】
実際に、クラウドは、データ保持及び処理構造のプーリングを可能にし、非常に高い計算力を有する。
【0008】
しかしながら、コンピュータネットワーク(インターネット等)を介したデータ-取得された医療データ、処理された医療データ、プローブの制御/監視データを表すシステムデータ等-の伝送は、
システムデータの完全性:例えば、プローブを駆動するための命令は、患者の健康へのリスクをなくすために悪意のある第三者により改変することが不可能でなければならない、
悪意のある第三者によりアクセス不可能でなければならない医療データの機密性:許可された医療者(医師等)のみがこれらの医療データにアクセス可能でなければならない、及び
医療データの信頼性:検査の全ての構成要素(即ち取得されたデータ、処理されたデータ、測定値等)は、一貫されなければならない(例えば前回の検査からの医療データは、進行中の検査の医療データに干渉してはならない/進行中の検査の取得された全ての医療データは処理されなければならない等)
を保証するために、これらのデータの完全性、真正性、及び不可侵性という極めて重要な問題を生じさせる。
システムデータの完全性:例えば、プローブを駆動するための命令は、患者の健康へのリスクをなくすために悪意のある第三者により改変することが不可能でなければならない、
悪意のある第三者によりアクセス不可能でなければならない医療データの機密性:許可された医療者(医師等)のみがこれらの医療データにアクセス可能でなければならない、及び
医療データの信頼性:検査の全ての構成要素(即ち取得されたデータ、処理されたデータ、測定値等)は、一貫されなければならない(例えば前回の検査からの医療データは、進行中の検査の医療データに干渉してはならない/進行中の検査の取得された全ての医療データは処理されなければならない等)
を保証するために、これらのデータの完全性、真正性、及び不可侵性という極めて重要な問題を生じさせる。
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明の目的は、可動状況で超音波検査を実行し、インターネット等のコンピュータネットワークを介したデータ交換に関する完全性、信頼性、及び機密性という上記問題への解決策を組み込んだ方法及びシステムを提供することである。
【課題を解決するための手段】
【0010】
このために、本発明は、患者の医療検査の手順中、データ交換を管理する方法に関し、本方法は、
プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブ、
有線又は無線通信手段を介してプローブと通信可能な端末であって、上記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末、
インターネット等のコンピュータネットワークを介して端末と通信可能なリモートプラットフォームであって、上記プラットフォームは、
○プローブデジタル証明書をプローブに発行すること、
○端末デジタル証明書を端末に発行すること
を行うように構成される、リモートプラットフォーム
の間でのデータ交換の管理を可能にし、特に、本方法は、検査手順の実施に先立って、認証手順の実施を含み、認証手順は、
プローブが端末デジタル証明書に基づいて端末の識別情報を検証する第1のフェーズと、
端末がプローブデジタル証明書に基づいてプローブの識別情報を検証する第2のフェーズと、
プローブ、端末、及びプラットフォームが各々、同一のセッション鍵を生成する(独立して)第3のフェーズであって、上記セッション鍵はプローブ公開鍵及び端末公開鍵に基づいて生成される(プローブ、端末、プラットフォーム間で伝送されない)、第3のフェーズと、
を含む。
プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブ、
有線又は無線通信手段を介してプローブと通信可能な端末であって、上記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末、
インターネット等のコンピュータネットワークを介して端末と通信可能なリモートプラットフォームであって、上記プラットフォームは、
○プローブデジタル証明書をプローブに発行すること、
○端末デジタル証明書を端末に発行すること
を行うように構成される、リモートプラットフォーム
の間でのデータ交換の管理を可能にし、特に、本方法は、検査手順の実施に先立って、認証手順の実施を含み、認証手順は、
プローブが端末デジタル証明書に基づいて端末の識別情報を検証する第1のフェーズと、
端末がプローブデジタル証明書に基づいてプローブの識別情報を検証する第2のフェーズと、
プローブ、端末、及びプラットフォームが各々、同一のセッション鍵を生成する(独立して)第3のフェーズであって、上記セッション鍵はプローブ公開鍵及び端末公開鍵に基づいて生成される(プローブ、端末、プラットフォーム間で伝送されない)、第3のフェーズと、
を含む。
【0011】
このセッション鍵は、認証手順が完了すると、プローブ、端末、プラットフォーム間で伝送されるセッションデータを対称暗号化するのに使用される。
【0012】
本発明に関して、交換されるセッションデータは、
システムデータであって、
○プローブ、及び/又は端末、及び/又はプラットフォームの制御データ(即ち駆動命令)、及び/又は
○プローブ、及び/又は端末、及び/又はプラットフォームの監視データ
を含むシステムデータ、
医療データであって、
○プローブによって取得(及び/又は前処理)された医療データ、及び/又は
○端末及び/又はリモートプラットフォームによって処理された医療データ
を含む医療データ
で構成される。
システムデータであって、
○プローブ、及び/又は端末、及び/又はプラットフォームの制御データ(即ち駆動命令)、及び/又は
○プローブ、及び/又は端末、及び/又はプラットフォームの監視データ
を含むシステムデータ、
医療データであって、
○プローブによって取得(及び/又は前処理)された医療データ、及び/又は
○端末及び/又はリモートプラットフォームによって処理された医療データ
を含む医療データ
で構成される。
【0013】
これらのセッションデータは、セッション鍵を使用してプローブ、又は端末、又はリモートプラットフォームによって暗号化/暗号化解除することができる。したがって、これらのセッションデータに含まれる情報はシステムの3つ全てのエンティティによってアクセス可能である。
【0014】
本発明の好ましいが、非限定的な実施形態は以下である:
同一のセッション鍵は、プローブ、端末、及びプラットフォームによって独立して生成され、プローブ公開鍵及び端末公開鍵はそれぞれ、上記セッション鍵が通信手段及び/又はコンピュータネットワークを介してプローブ、端末、及びプラットフォームの間で交換されないように、
プローブのメモリ、
端末のメモリ、及び
プラットフォームのストレージユニット
に記憶され;
セッション鍵は、検査の実施中、プローブ、端末、及びプラットフォームの間で交換される対称暗号モードデータに従って暗号化するのに使用され;
第1のフェーズは、
端末デジタル証明書を含むペアリング要求を端末によって送信するステップ、
プローブによってペアリング要求を受信し、端末デジタル証明書を抽出するステップ、
プローブにより、プローブのメモリに含まれるプラットフォーム公開鍵を使用して端末デジタル証明書の真正性を証明することによって端末デジタル証明書を検証するステップ
を含み;
第1のフェーズは、
端末デジタル証明書が真正である場合、検証情報をプローブと端末との間で交換するステップであって、上記検証情報は、端末のメモリに記憶された端末公開鍵及び端末秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
端末デジタル証明書が真正ではない場合、プローブによってアラートメッセージを送信するステップ
を更に含み;
検証情報を交換するステップは、本質が
○プローブにより、端末デジタル証明書に含まれる端末公開鍵を抽出すること、
○プローブによって検証情報を生成すること、
○プローブにより、端末公開鍵を用いて検証情報を非対称暗号化すること、
○プローブにより、端末公開鍵を用いて暗号化された検証情報を含む応答メッセージを送信すること、
○端末により、応答メッセージを受信し、端末のメモリに記憶された端末秘密鍵を使用して検証情報を暗号化解除すること、
○端末により、暗号化解除された検証情報を含む確認メッセージを送信すること、
○プローブによって確認メッセージを受信すること、
○プローブにより、確認メッセージに含まれる暗号化解除された検証情報をプローブによって送信された応答メッセージに含まれる検証情報と比較して、上記検証情報が同一であるか、又は異なるかを定義すること、
○検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
○検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
にあるサブステップを含み;
第2のフェーズは、
端末により、プローブによって送信された結果メッセージを受信するステップであって、プローブデジタル証明書は結果メッセージに組み込まれる、受信するステップ、
端末によってプローブデジタル証明書を抽出するステップ、
端末デジタル証明書の署名を端末のメモリに含まれるプラットフォーム公開鍵と比較することにより、プローブデジタル証明書の真正性を端末によって検証するステップ、
を含み;
第2のフェーズは、
プローブデジタル証明書が真正である場合、プローブと端末との間で検証情報を交換するステップであって、上記検証情報は、プローブのメモリに記憶されたプローブ公開鍵及びプローブ秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
プローブデジタル証明書が真正ではない場合、端末によってアラートメッセージを送信するステップ、
を更に含み;
検証情報を交換するステップは、本質が、
○端末により、プローブデジタル証明書に含まれるプローブ公開鍵を抽出すること、
○端末によって検証情報を生成すること、
○端末により、プローブ公開鍵を使用して検証情報を非対称暗号化すること、
○端末により、プローブ公開鍵を用いて暗号化された検証情報を含む正当化メッセージを送信すること、
○プローブにより、正当化メッセージを受信し、プローブのメモリに記憶されたプローブ秘密鍵を使用して検証情報を暗号化解除すること、
○プローブにより、暗号化解除された検証情報を含む証明メッセージを送信すること、
○端末によって証明メッセージを受信すること、
○端末により、証明メッセージに含まれる検証情報を端末によって送信された正当化メッセージに含まれる検証情報と比較して、上記検証情報が同一であるか、それとも異なるかを定義すること、
○検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
○検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
にあるサブステップを含み;
本方法は、認証手順の実施に先立ってサブスクリプション手順を含み、サブスクリプション手順において、
端末は、プローブ識別子、端末識別子、及び端末公開鍵を含む検査要求メッセージをプラットフォーム送信し、
プラットフォームは、プラットフォーム公開鍵を含むプラットフォーム証明書及び端末公開鍵を含む端末証明書を含むペアリング許可メッセージを端末送信する。
同一のセッション鍵は、プローブ、端末、及びプラットフォームによって独立して生成され、プローブ公開鍵及び端末公開鍵はそれぞれ、上記セッション鍵が通信手段及び/又はコンピュータネットワークを介してプローブ、端末、及びプラットフォームの間で交換されないように、
プローブのメモリ、
端末のメモリ、及び
プラットフォームのストレージユニット
に記憶され;
セッション鍵は、検査の実施中、プローブ、端末、及びプラットフォームの間で交換される対称暗号モードデータに従って暗号化するのに使用され;
第1のフェーズは、
端末デジタル証明書を含むペアリング要求を端末によって送信するステップ、
プローブによってペアリング要求を受信し、端末デジタル証明書を抽出するステップ、
プローブにより、プローブのメモリに含まれるプラットフォーム公開鍵を使用して端末デジタル証明書の真正性を証明することによって端末デジタル証明書を検証するステップ
を含み;
第1のフェーズは、
端末デジタル証明書が真正である場合、検証情報をプローブと端末との間で交換するステップであって、上記検証情報は、端末のメモリに記憶された端末公開鍵及び端末秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
端末デジタル証明書が真正ではない場合、プローブによってアラートメッセージを送信するステップ
を更に含み;
検証情報を交換するステップは、本質が
○プローブにより、端末デジタル証明書に含まれる端末公開鍵を抽出すること、
○プローブによって検証情報を生成すること、
○プローブにより、端末公開鍵を用いて検証情報を非対称暗号化すること、
○プローブにより、端末公開鍵を用いて暗号化された検証情報を含む応答メッセージを送信すること、
○端末により、応答メッセージを受信し、端末のメモリに記憶された端末秘密鍵を使用して検証情報を暗号化解除すること、
○端末により、暗号化解除された検証情報を含む確認メッセージを送信すること、
○プローブによって確認メッセージを受信すること、
○プローブにより、確認メッセージに含まれる暗号化解除された検証情報をプローブによって送信された応答メッセージに含まれる検証情報と比較して、上記検証情報が同一であるか、又は異なるかを定義すること、
○検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
○検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
にあるサブステップを含み;
第2のフェーズは、
端末により、プローブによって送信された結果メッセージを受信するステップであって、プローブデジタル証明書は結果メッセージに組み込まれる、受信するステップ、
端末によってプローブデジタル証明書を抽出するステップ、
端末デジタル証明書の署名を端末のメモリに含まれるプラットフォーム公開鍵と比較することにより、プローブデジタル証明書の真正性を端末によって検証するステップ、
を含み;
第2のフェーズは、
プローブデジタル証明書が真正である場合、プローブと端末との間で検証情報を交換するステップであって、上記検証情報は、プローブのメモリに記憶されたプローブ公開鍵及びプローブ秘密鍵を使用して首尾良く暗号化及び暗号化解除される、交換するステップ、
プローブデジタル証明書が真正ではない場合、端末によってアラートメッセージを送信するステップ、
を更に含み;
検証情報を交換するステップは、本質が、
○端末により、プローブデジタル証明書に含まれるプローブ公開鍵を抽出すること、
○端末によって検証情報を生成すること、
○端末により、プローブ公開鍵を使用して検証情報を非対称暗号化すること、
○端末により、プローブ公開鍵を用いて暗号化された検証情報を含む正当化メッセージを送信すること、
○プローブにより、正当化メッセージを受信し、プローブのメモリに記憶されたプローブ秘密鍵を使用して検証情報を暗号化解除すること、
○プローブにより、暗号化解除された検証情報を含む証明メッセージを送信すること、
○端末によって証明メッセージを受信すること、
○端末により、証明メッセージに含まれる検証情報を端末によって送信された正当化メッセージに含まれる検証情報と比較して、上記検証情報が同一であるか、それとも異なるかを定義すること、
○検証情報が同一である場合、認証成功を表す妥当メッセージを送信すること、
○検証情報が異なる場合、認証失敗を表すアラートメッセージを送信すること、
にあるサブステップを含み;
本方法は、認証手順の実施に先立ってサブスクリプション手順を含み、サブスクリプション手順において、
端末は、プローブ識別子、端末識別子、及び端末公開鍵を含む検査要求メッセージをプラットフォーム送信し、
プラットフォームは、プラットフォーム公開鍵を含むプラットフォーム証明書及び端末公開鍵を含む端末証明書を含むペアリング許可メッセージを端末送信する。
【0015】
本発明は、患者の検査の手順中、データを交換するシステムにも関し、本システムは、
プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブと、
有線又は無線通信手段を介してプローブと通信可能な端末であって、上記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末と、
インターネット等のコンピュータネットワークを介して端末と通信可能なリモートプラットフォームであって、上記プラットフォームは、
○プローブデジタル証明書をプローブに発行すること、
○端末デジタル証明書を端末に発行すること
を行うように構成される、リモートプラットフォームと、
を備え、特に、プローブ、端末、及びプラットフォームは、検査手順の実施に先立って認証手順を実施するのに適した手段を含み、認証手順は、
プローブが端末デジタル証明書に基づいて端末の識別情報を検証する第1のフェーズと、
端末がプローブデジタル証明書に基づいてプローブの識別情報を検証する第2のフェーズと、
プローブ、端末、及びプラットフォームが各々、同一のセッション鍵を生成する第3のフェーズであって、上記セッション鍵はプローブ公開鍵及び端末公開鍵に基づいて生成される、第3のフェーズと、
を含む。
プローブ公開鍵を含むプローブデジタル証明書を含むメモリを含むデータ取得プローブと、
有線又は無線通信手段を介してプローブと通信可能な端末であって、上記端末は、端末公開鍵を含む端末デジタル証明書を含むメモリを含む、端末と、
インターネット等のコンピュータネットワークを介して端末と通信可能なリモートプラットフォームであって、上記プラットフォームは、
○プローブデジタル証明書をプローブに発行すること、
○端末デジタル証明書を端末に発行すること
を行うように構成される、リモートプラットフォームと、
を備え、特に、プローブ、端末、及びプラットフォームは、検査手順の実施に先立って認証手順を実施するのに適した手段を含み、認証手順は、
プローブが端末デジタル証明書に基づいて端末の識別情報を検証する第1のフェーズと、
端末がプローブデジタル証明書に基づいてプローブの識別情報を検証する第2のフェーズと、
プローブ、端末、及びプラットフォームが各々、同一のセッション鍵を生成する第3のフェーズであって、上記セッション鍵はプローブ公開鍵及び端末公開鍵に基づいて生成される、第3のフェーズと、
を含む。
【0016】
有利なことに、プローブ、端末、及びプラットフォームは、先に定義した管理方法のフェーズ、ステップ、及びサブステップを実施する手段を含む。
【0017】
本発明の他の特徴、目的、及び利点は以下の説明から明らかになり、以下の説明は純粋に例示且つ非限定的であり、添付図面を参照して読まれなければならない。
【図面の簡単な説明】
【0018】
【図1】患者の検査の手順中、データ(即ち制御データ、監視データ、及び/又は医学的データ)を交換するためのシステムの模式図である。
【図2】認証手順中に実施される、プローブと端末との間のダイアログの第1のフェーズの模式図である。
【図3】認証手順中に実施される、プローブと端末との間のダイアログの第2のフェーズの模式図である。
【発明を実施するための形態】
【0019】
1.全般
1.1.暗号化
本文の残りの部分に記載される本発明は、真正の受信エンティティのみがそれらを解釈するためにこれらのデータを暗号化解除することができるように、送信エンティティが送信されるデータを暗号化できるようにするデータ暗号化技法を使用する。
1.1.暗号化
本文の残りの部分に記載される本発明は、真正の受信エンティティのみがそれらを解釈するためにこれらのデータを暗号化解除することができるように、送信エンティティが送信されるデータを暗号化できるようにするデータ暗号化技法を使用する。
【0020】
1.1.1.対称/非対称暗号化の原理
既知のように、同じ秘密鍵が、交換されるデータの暗号化及び暗号化解除を行うように機能する対称暗号化と、一対の別個の鍵-いわゆる「公開鍵」及び「秘密鍵」-が使用される非対称暗号化が区別される。
既知のように、同じ秘密鍵が、交換されるデータの暗号化及び暗号化解除を行うように機能する対称暗号化と、一対の別個の鍵-いわゆる「公開鍵」及び「秘密鍵」-が使用される非対称暗号化が区別される。
【0021】
対称暗号化は、発信側及び受信側が同じ鍵を秘密裏に共有するため、相互信頼を有する単一の発信側/受信側対内のダイアログに適する。
【0022】
非対称暗号化は、多くの潜在的な参加者とダイアログをセットアップするのにより適する。
【0023】
心覚えとして、情報の目的で、秘密鍵が受信エンティティによって保持される場合、任意の送信システムが公開鍵によってデータを暗号化し、それを受信エンティティに送信することができる:受信エンティティのみが秘密鍵によってデータを暗号化解除することができることを想起する。これは、送信された文書の機密性を保証する。
【0024】
逆に、秘密鍵が送信エンティティによって保持される場合、送信エンティティのみがデータを暗号化することができる。任意の受信エンティティは公開鍵を使用してデータを暗号化解除することができる。データを送信した送信エンティティが、秘密鍵を有するエンティティであることを保証した状態でこれを行うことができる。
【0025】
1.1.2.証明書による暗号化の原理
非対称暗号化技法の使用の一欠点は、公開鍵の送信に由来する。それが完全ではない場合、偽の公開鍵を配送し(例えば偽のウェブサイトを介して)、次いで全ての通信を傍受することにより、悪意のある第三者エンティティが高信頼性エンティティとパブリックとの間に位置し、高信頼性エンティティの身元を乗っ取れるようにする可能性がある。このタイプの攻撃は特に、「中間者攻撃」という名で知られている。
非対称暗号化技法の使用の一欠点は、公開鍵の送信に由来する。それが完全ではない場合、偽の公開鍵を配送し(例えば偽のウェブサイトを介して)、次いで全ての通信を傍受することにより、悪意のある第三者エンティティが高信頼性エンティティとパブリックとの間に位置し、高信頼性エンティティの身元を乗っ取れるようにする可能性がある。このタイプの攻撃は特に、「中間者攻撃」という名で知られている。
【0026】
これは、本発明に関して、残りの文章に記載される方法及びシステムが何故、関わる用途のニーズにより適する電子証明書の使用に基づくかの理由である。具体的には、更に明らかになるように、本発明は、
少なくとも3つの別個のエンティティ間でデータを交換し、
これらのエンティティの1つの真正性は、任意のデータの交換に先立ち、他の2つのエンティティによって妥当性チェックされなければならない。
少なくとも3つの別個のエンティティ間でデータを交換し、
これらのエンティティの1つの真正性は、任意のデータの交換に先立ち、他の2つのエンティティによって妥当性チェックされなければならない。
【0027】
心覚えとして、電子証明書(「デジタル証明書」又は「公開鍵証明書」としても知られる)は、
エンティティの身元識別及び認証のみならず、
データ交換の暗号化
にも使用される「デジタル身元識別カード」を構成する。
エンティティの身元識別及び認証のみならず、
データ交換の暗号化
にも使用される「デジタル身元識別カード」を構成する。
【0028】
電子証明書は、
1つ又は複数の公開鍵、
証明書と関連付けられたエンティティを識別する情報(例えば、証明書を送信したエンティティの名前、場所、及び電子アドレス);
証明書を生成したエンティティの秘密鍵に基づいて構築された少なくとも1つの署名;したがって、署名エンティティは、証明書の情報の正確性を信頼させることができる(又は信頼させないことができる)唯一の権限である
を含むデータセットで構成される。
1つ又は複数の公開鍵、
証明書と関連付けられたエンティティを識別する情報(例えば、証明書を送信したエンティティの名前、場所、及び電子アドレス);
証明書を生成したエンティティの秘密鍵に基づいて構築された少なくとも1つの署名;したがって、署名エンティティは、証明書の情報の正確性を信頼させることができる(又は信頼させないことができる)唯一の権限である
を含むデータセットで構成される。
【0029】
したがって、そのような電子証明書は、
反証可能性がなく:いかなる改変も阻止するように暗号化され;
主格であり:エンティティに発行され、このエンティティのデジタル身元識別カードを構成し、
証明される;発行したエンティティによって署名される。
反証可能性がなく:いかなる改変も阻止するように暗号化され;
主格であり:エンティティに発行され、このエンティティのデジタル身元識別カードを構成し、
証明される;発行したエンティティによって署名される。
【0030】
1.2.ハードウェアアーキテクチャ
図1を参照すると、システムの異なるエンティティ間のデータ交換に先立って、残りの文章で説明する認証方法を実施することができるシステムの一例を示す。
図1を参照すると、システムの異なるエンティティ間のデータ交換に先立って、残りの文章で説明する認証方法を実施することができるシステムの一例を示す。
【0031】
システムは3つの別個のエンティティを含む:
取得プローブ1、
有線又は無線通信手段によってプローブに接続されたローカル端末2、及び
インターネット等のコンピュータネットワークを介して端末2に接続されるリモートプラットフォーム3。
取得プローブ1、
有線又は無線通信手段によってプローブに接続されたローカル端末2、及び
インターネット等のコンピュータネットワークを介して端末2に接続されるリモートプラットフォーム3。
【0032】
1.2.1.プローブ
プローブ1は、患者の対象領域(内部構造、臓器等)を表す医療データのレジストレーションを可能にする。
プローブ1は、患者の対象領域(内部構造、臓器等)を表す医療データのレジストレーションを可能にする。
【0033】
プローブ1は例えば、
超音波を送信し、超音波エコーを受信し、データを形成する電気信号に受信した超音波エコーを変換する複数の超音波トランスデューサ、
データを任意選択的に前処理する計算器、
取得したデータを外部端末に送信する通信ユニット(有線又は無線)
を含む超音波プローブである。
超音波を送信し、超音波エコーを受信し、データを形成する電気信号に受信した超音波エコーを変換する複数の超音波トランスデューサ、
データを任意選択的に前処理する計算器、
取得したデータを外部端末に送信する通信ユニット(有線又は無線)
を含む超音波プローブである。
【0034】
プローブ1によって取得されたデータの処理により、患者に関連する情報の抽出及び/又は対象領域の画像の表示等が可能になる。
【0035】
1.2.2.端末
端末2は、プローブ1によって取得された特定の医療データの任意選択的な処理及び/又は対象領域の画像の表示を可能にする。
端末2は、プローブ1によって取得された特定の医療データの任意選択的な処理及び/又は対象領域の画像の表示を可能にする。
【0036】
端末2は例えば、スマートフォンタイプの携帯電話、個人端末(若しくはPDA即ち個人情報端末)、又はApple Watch(登録商標)タイプのコネクテッドウォッチ等の当業者に既知の任意のタイプのモバイル端末等のモバイル端である。
【0037】
変形において、端末2は仮想端末、即ち物理的モバイル端末のエミュレーションであることができる。本発明に関して、「仮想端末」という用語は、任意の仮想リソース及び/又は実際のエンティティの一部分を包含する。例えば、仮想端末は、コンピュータプログラム、仮想マシン、「クラウドコンピューティング」環境で実施されるインスタンス、表示画面等の物理的装置のサブシステムであることができる。
【0038】
該当する場合、プローブ1によって取得されたデータの処理及び/又は対象領域の表示の他に、端末2は、
プローブによって送信されたデータ(医療データ、監視データ等)のプラットフォーム3に向けた転送、及び
プラットフォーム3によって送信されたデータ(制御データ等)のプローブ1に向けた転送
を可能にする。
プローブによって送信されたデータ(医療データ、監視データ等)のプラットフォーム3に向けた転送、及び
プラットフォーム3によって送信されたデータ(制御データ等)のプローブ1に向けた転送
を可能にする。
【0039】
端末2とプラットフォーム3との間のデータの交換は、インターネット等のコンピュータネットワークを使用して実施される。
【0040】
1.2.3.リモートプラットフォーム
プラットフォーム3は、
端末2の性能を超える計算力を必要とするプロセスの実施、及び/又は
受信データ(医療データ、監視データ等)の記憶、及び/又は
端末2を介した制御命令をプローブ1に送信することによるプローブ1の駆動
を可能にする。
プラットフォーム3は、
端末2の性能を超える計算力を必要とするプロセスの実施、及び/又は
受信データ(医療データ、監視データ等)の記憶、及び/又は
端末2を介した制御命令をプローブ1に送信することによるプローブ1の駆動
を可能にする。
【0041】
プラットフォーム3は、残りの文章により詳述するように、プローブ及び端末の証明書の生成を更に可能にする。
【0042】
プラットフォーム3は、例えば1つ又は複数のコンピュータ、1つ又は複数のマイクロコンピュータ、1つ又は複数のワークステーション、或いは/並びに1つ又は複数のプロセッサ、1つ又は複数のマイクロコントローラ、1つ又は複数のプログラマブル自動システム、1つ又は複数の特定用途向け集積回路、及び/又は他のプログラマブル回路を含む当業者に既知の他のデバイスを含む処理ユニットを含む。
【0043】
プラットフォーム3は、ROM/RAMメモリ、USBキー、又は中央サーバのメモリであることができる1つ(又は複数)のメモリを含む記憶ユニットも含む。
【0044】
処理ユニットは、記憶ユニットに統合することもでき、又は記憶ユニットから別個であることもできる。更に、処理ユニット(又は記憶ユニットをそれぞれ)構成する異なる要素は、建物、都市、国、又は1つ若しくは複数の大陸の規模の物理的に異なる位置に配置することができる。
【0045】
医療検査と関連するデータ(医療データ、監視データ等)の保持の他に、記憶ユニットは、残りの文章に記載される認証方法の特定のステップを実行することが意図されるプログラミングコード命令を記憶できるようにもする。
【0046】
同じことがプローブ1及び端末2にも該当し、これらは各々、後述する認証方法を実施するプログラミングコード命令を記憶する各メモリを含む。
【0047】
1.3.信頼の輪
プラットフォームは、一方ではプローブ、他方では端末に割り当てられる証明書の出所を保証できるようにする証明機関を構成する。
プラットフォームは、一方ではプローブ、他方では端末に割り当てられる証明書の出所を保証できるようにする証明機関を構成する。
【0048】
より精密には、プラットフォーム3は、
プローブ及び端末に既知のプラットフォーム公開鍵、
プラットフォームのみに既知であり、製造時にプローブに割り当てられるプローブ証明書及び顧客アカウントへのユーザによるサブスクリプション時に端末に割り当てられる端末証明書に署名するのに使用されるプラットフォーム秘密鍵
を特徴とする。
プローブ及び端末に既知のプラットフォーム公開鍵、
プラットフォームのみに既知であり、製造時にプローブに割り当てられるプローブ証明書及び顧客アカウントへのユーザによるサブスクリプション時に端末に割り当てられる端末証明書に署名するのに使用されるプラットフォーム秘密鍵
を特徴とする。
【0049】
プラットフォーム公開鍵は、
プローブの製造時、プローブ1のメモリに、及び
例えばプラットフォーム公開鍵及びプラットフォーム秘密鍵に基づいて取得された署名を含むプラットフォーム証明書をプラットフォームが送信したことに続いた顧客アカウントへのユーザによるサブスクリプション時、端末2のメモリに
記録される。
プローブの製造時、プローブ1のメモリに、及び
例えばプラットフォーム公開鍵及びプラットフォーム秘密鍵に基づいて取得された署名を含むプラットフォーム証明書をプラットフォームが送信したことに続いた顧客アカウントへのユーザによるサブスクリプション時、端末2のメモリに
記録される。
【0050】
プラットフォーム3のみがプラットフォーム秘密鍵を有し、それにより、
プローブ及び端末にアドレス指定された証明書への署名、及び
プラットフォーム公開鍵に基づいて暗号化されたメッセージの暗号化解除
が可能になる。
プローブ及び端末にアドレス指定された証明書への署名、及び
プラットフォーム公開鍵に基づいて暗号化されたメッセージの暗号化解除
が可能になる。
【0051】
換言すれば、プラットフォーム秘密鍵はプラットフォーム3の記憶ユニットのみに記憶される。
【0052】
したがって、プローブ1及び端末2は、プラットフォーム公開鍵を使用してプラットフォーム3によって送信された証明書の真正性を検証することができ、ソフトウェアエンティティが、詐欺証明書を生成するためにプラットフォーム3に取って代わることはできない。
【0053】
1.3.1.第1の信頼の輪及び証明書
プローブ1及びプラットフォーム3は、同じ信頼空間に属するリソースである。プローブ1及びプラットフォーム3は例えば、同じ組織によって製造され、又は同じ組織(同じ企業若しくは企業グループ)に属する。
プローブ1及びプラットフォーム3は、同じ信頼空間に属するリソースである。プローブ1及びプラットフォーム3は例えば、同じ組織によって製造され、又は同じ組織(同じ企業若しくは企業グループ)に属する。
【0054】
プラットフォーム3の記憶ユニットは、組織によって製造され且つ/又は組織に属する全てのプローブ1を分類するテーブルを含む。
【0055】
より精密には、各プローブ1は、
プローブ識別子(一連の文字)、
既知のプローブ秘密鍵、
プローブ1宛てのメッセージの暗号化に使用されるプローブ公開鍵、及び
プラットフォーム3によって生成されるプローブ証明書
を特徴とする。
プローブ識別子(一連の文字)、
既知のプローブ秘密鍵、
プローブ1宛てのメッセージの暗号化に使用されるプローブ公開鍵、及び
プラットフォーム3によって生成されるプローブ証明書
を特徴とする。
【0056】
特に、プローブ証明書は、
プローブ識別子
プローブ公開鍵、及び
プラットフォーム秘密鍵に基づいて取得される署名
を含む。
プローブ識別子
プローブ公開鍵、及び
プラットフォーム秘密鍵に基づいて取得される署名
を含む。
【0057】
プローブ識別子、プローブ公開鍵、プローブ秘密鍵、プローブ証明書、及びプラットフォーム公開鍵は、プローブ製造時、プローブのメモリに記憶される。
【0058】
プローブ識別子、プローブ公開鍵、及びプローブ証明書は、プラットフォーム3の記憶ユニットに含まれるプローブテーブルに記憶される。
【0059】
プローブ1のみがプローブ秘密鍵を有し、プローブ公開鍵に基づいて暗号化されたメッセージを暗号化解除できるようにする。換言すれば、プローブ秘密鍵はプローブ1のメモリのみに記憶される。
【0060】
1.3.2.第2の信頼の輪及び証明書
その一方で、端末2は同じ組織に属さない。異なるプローブ1と動作することが可能である。プラットフォーム3との顧客アカウントを有するユーザに属し、ユーザが自身を身元識別できるようにする。
その一方で、端末2は同じ組織に属さない。異なるプローブ1と動作することが可能である。プラットフォーム3との顧客アカウントを有するユーザに属し、ユーザが自身を身元識別できるようにする。
【0061】
顧客アカウントへのサブスクリプション時、端末識別子、端末秘密鍵、端末公開鍵、及び端末証明書が生成される。端末公開鍵及び端末秘密鍵は端末によって生成され、一方、端末証明書及び識別子はプラットフォーム3によって生成される。
【0062】
より精密には、顧客アカウントへのサブスクリプション中、端末2は端末公開鍵及び端末秘密鍵を生成する。端末公開鍵は、サブスクリプション要求メッセージにおいてプラットフォーム3に送信される。端末2のユーザが、検査の実行に用いたいプローブ1を有する状況では、サブスクリプション要求メッセージは、検査を実行するために端末と組み合わせられることが意図されるプローブの識別子を含むこともできる。これにより、プラットフォームは、端末に、記憶ユニットに含まれるプローブテーブルのプローブを関連付けることができる。残りの文章により詳細に記載するように、そのような関連付けは、後述する身元識別プロトコル後、プローブ又は端末がプラットフォームに生成されたセッション鍵を送信する必要性をなくせるようにする。サブスクリプション時、端末2のユーザがプローブ1を有さない状況又は端末2のユーザが幾つかのプローブを有する場合、顧客アカウントへのサブスクリプション後、特に検査実施の数分前、検査を実行するために端末と組み合わせられることが意図されるプローブの識別子をプラットフォームに送信することができる。
【0063】
サブスクリプション要求メッセージに応答して、プラットフォーム3は端末識別子を生成し、
端末識別子、
端末公開鍵、及び
プラットフォーム秘密鍵に基づいて取得された署名
を含む端末証明書を生成する。
端末識別子、
端末公開鍵、及び
プラットフォーム秘密鍵に基づいて取得された署名
を含む端末証明書を生成する。
【0064】
この証明書は端末に送信される。証明書は端末公開鍵に基づいて暗号化することができる。プラットフォーム公開鍵を含むプラットフォーム証明書も端末に送信される。
【0065】
端末識別子、端末公開鍵、端末秘密鍵、プラットフォーム公開鍵、及び端末証明書は、端末2のメモリに記憶される。端末識別子、端末公開鍵、及び端末証明書は、プラットフォーム3の記憶ユニットに記憶されたテーブルに保持される。プローブ識別子もプラットフォームに送信される状況では、このプラットフォームは、検査セッションの実施のために組み合わせなければならないプローブ及び端末の識別子をプローブ/端末対応性テーブルに記憶する。
【0066】
2.認証方法
本発明による認証方法の動作原理のより詳細な説明がこれより続く。
本発明による認証方法の動作原理のより詳細な説明がこれより続く。
【0067】
残りの文章において、ユーザがプラットフォーム3とのユーザアカウントを既にサブスクライブしており、ユーザの端末2が、ユーザアカウントへのサブスクリプション時に記録されていると想定される。記録動作中、端末公開鍵及び端末秘密鍵は端末2によって生成されており;
端末秘密鍵により、端末2は、端末公開鍵を使用して暗号化された受信メッセージを暗号化解除することができ、
端末公開鍵により、端末証明書を保持しているエンティティは、端末にアドレス指定されたメッセージを暗号化することができる。
端末秘密鍵により、端末2は、端末公開鍵を使用して暗号化された受信メッセージを暗号化解除することができ、
端末公開鍵により、端末証明書を保持しているエンティティは、端末にアドレス指定されたメッセージを暗号化することができる。
【0068】
記録動作時に、プラットフォーム証明書及び端末証明書もリモートプラットフォームによって端末2に送信されており、端末のメモリに記憶されている。プラットフォーム証明書は特に、プラットフォーム公開鍵を含み;このプラットフォーム公開鍵により、端末はプラットフォームによって生成された証明書の真正性を検証することができ、適切な場合、プラットフォーム3に向けてメッセージを暗号化することができる。端末証明書は、
-端末の識別子、
-端末証明書を保持しているエンティティが端末にアドレス指定されたメッセージを暗号化できるようにする端末公開鍵、
-プラットフォーム秘密鍵に基づいて取得される署名;この署名は、証明書を生成した証明書エンティティとしてプラットフォームを認証できるようにする
を含む。
-端末の識別子、
-端末証明書を保持しているエンティティが端末にアドレス指定されたメッセージを暗号化できるようにする端末公開鍵、
-プラットフォーム秘密鍵に基づいて取得される署名;この署名は、証明書を生成した証明書エンティティとしてプラットフォームを認証できるようにする
を含む。
【0069】
先に示したように、
プローブ1のメモリは、
○プローブ公開鍵を用いて暗号化されたメッセージを暗号化解除できるようにするプローブ秘密鍵、
○適切な場合、プラットフォーム3にアドレス指定されたメッセージを暗号化し、プラットフォームによって送信された証明書の真正性を検証できるようにするプラットフォーム公開鍵、
○プローブ証明書であって、
プローブ識別子、
プローブ公開鍵、
プラットフォーム秘密鍵に基づいて取得される署名
を含むプローブ証明書
を含み;
端末2のメモリは、
○端末公開鍵を用いて暗号化されたメッセージの暗号化解除に使用される端末秘密鍵、
○プラットフォーム公開鍵を含むプラットフォームの証明書であって、適切な場合、プラットフォーム3にアドレス指定されたメッセージを暗号化し、プラットフォームによって送信された証明書の署名の真正性を検証できるようにする、プラットフォームの証明書、及び
○端末証明書であって、
端末識別子、
端末公開鍵、
プラットフォーム秘密鍵に基づいて取得される署名
を含む端末証明書
を含み;
端末3の記憶ユニットは、
○組織の各プローブ1の識別子及び各プローブ識別子と関連付けられたプローブ証明書を含むプローブテーブル、
○各端末2の識別子及び各端末識別子と関連付けられた端末証明書を含む端末、
○検査セッションを実施するために組み合わせなければならないプローブ識別子及び端末識別子を含むプローブ/端末対応性テーブル、
○証明書への署名及びプラットフォーム公開鍵を用いて暗号化されたメッセージの暗号化解除に使用されるプラットフォーム秘密鍵
を含む。
プローブ1のメモリは、
○プローブ公開鍵を用いて暗号化されたメッセージを暗号化解除できるようにするプローブ秘密鍵、
○適切な場合、プラットフォーム3にアドレス指定されたメッセージを暗号化し、プラットフォームによって送信された証明書の真正性を検証できるようにするプラットフォーム公開鍵、
○プローブ証明書であって、
プローブ識別子、
プローブ公開鍵、
プラットフォーム秘密鍵に基づいて取得される署名
を含むプローブ証明書
を含み;
端末2のメモリは、
○端末公開鍵を用いて暗号化されたメッセージの暗号化解除に使用される端末秘密鍵、
○プラットフォーム公開鍵を含むプラットフォームの証明書であって、適切な場合、プラットフォーム3にアドレス指定されたメッセージを暗号化し、プラットフォームによって送信された証明書の署名の真正性を検証できるようにする、プラットフォームの証明書、及び
○端末証明書であって、
端末識別子、
端末公開鍵、
プラットフォーム秘密鍵に基づいて取得される署名
を含む端末証明書
を含み;
端末3の記憶ユニットは、
○組織の各プローブ1の識別子及び各プローブ識別子と関連付けられたプローブ証明書を含むプローブテーブル、
○各端末2の識別子及び各端末識別子と関連付けられた端末証明書を含む端末、
○検査セッションを実施するために組み合わせなければならないプローブ識別子及び端末識別子を含むプローブ/端末対応性テーブル、
○証明書への署名及びプラットフォーム公開鍵を用いて暗号化されたメッセージの暗号化解除に使用されるプラットフォーム秘密鍵
を含む。
【0070】
認証方法は2つのフェーズを含む:
プローブが端末を認証できるようにする端末2とプローブ1との間のダイアログの第1のフェーズ100、及び
端末がプローブを認証できるようにする端末2とプローブ1との間のダイアログの第2のフェーズ300。
プローブが端末を認証できるようにする端末2とプローブ1との間のダイアログの第1のフェーズ100、及び
端末がプローブを認証できるようにする端末2とプローブ1との間のダイアログの第2のフェーズ300。
【0071】
2.1.認証方法の実施前
ユーザは、検査の実行を望む場合、端末2の入力手段に、検査に関する情報、特に検査への使用が意図されるプローブの識別子を入力する。
ユーザは、検査の実行を望む場合、端末2の入力手段に、検査に関する情報、特に検査への使用が意図されるプローブの識別子を入力する。
【0072】
この情報及び
端末の識別子、
患者に関連する個人データ(名、姓、ケース番号等)、
検査に関連するデータ(検査データの取得日、検査のタイプ等)
等の他の情報が検査要求メッセージに組み込まれる。
端末の識別子、
患者に関連する個人データ(名、姓、ケース番号等)、
検査に関連するデータ(検査データの取得日、検査のタイプ等)
等の他の情報が検査要求メッセージに組み込まれる。
【0073】
検査要求メッセージはプラットフォーム3に送信され、プラットフォーム3はそれを記憶ユニットに記録し、プローブ識別子及び端末識別子を検査要求メッセージに関連付けることによってプローブ/端末対応性テーブルを更新する。
【0074】
有利なことに、検査要求メッセージはプラットフォーム公開鍵に基づいて暗号化することができる。これにより、例えば端末2の身元を乗っ取るために全ての通信を傍受した悪意のある第三者による重要情報の取得リスクを制限することが可能になる。
【0075】
プラットフォーム3は端末識別子に従って、ユーザがシステムユーザ権を有することを検証する。ユーザがユーザ権を有する場合、プラットフォームはペアリング許可メッセージを発し、その他の場合、プラットフォームはペアリングを阻止するエラーメッセージを発する。
【0076】
有利なことに、プラットフォーム3によって送信される許可メッセージは端末公開鍵を使用して暗号化することができる。端末公開鍵を使用して許可メッセージを暗号化するということにより、システムにとって重要な情報の詐欺傍受リスクを阻止することが可能になり、この情報は暗号化され、したがって、その状態では使用不可能である。これにより更に、プラットフォームは、要求を生成した端末2及び要求に含まれる識別子と関連付けられた端末が実際に同じエンティティを構成することを保証することができる(端末秘密鍵を有する、識別子が要求において示された端末のみが、プラットフォームのメッセージを暗号化解除することが可能である)。
【0077】
端末が許可メッセージを受信した場合、プローブ1及び端末2は第1のダイアログフェーズ100を実施する。
【0078】
2.2.第1のダイアログフェーズ
先に示したように、第1のダイアログフェーズ100は、プローブ1が端末2を認証できるようにする。
先に示したように、第1のダイアログフェーズ100は、プローブ1が端末2を認証できるようにする。
【0079】
第1のステップにおいて、端末2はプローブ1にアドレス指定されたペアリング要求を発する(110)。このペアリング要求は端末証明書を含み、端末証明書は、端末が実際に高信頼性エンティティであることを検証するためにプローブ1によって使用される。
【0080】
プローブ1はペアリング要求を受信し(120)、それから端末証明書を抽出する。
【0081】
プローブ1は、製造時にメモリに記憶されたプラットフォーム公開鍵と端末証明書の署名を比較することによって端末証明書の真正性を検証する(130)。
【0082】
端末証明書が真正である場合、プローブ1は、端末証明書に含まれる端末公開鍵を抽出し(140)、それを内部メモリに記録する。この端末鍵は、残りの文章でより詳細に説明するように、「セッション鍵」を生成するのに使用される。端末証明書が真正ではない場合、エラーメッセージが送信される(135)。
【0083】
プローブ1は検証情報(例えば一連の乱数)を生成し、端末公開鍵を使用して検証情報を暗号化し、応答メッセージに組み込む。応答メッセージはプローブ1によって端末2に送信される(150)。
【0084】
端末2は応答メッセージを受信し(160)、端末秘密鍵を使用して検証情報を暗号化解除する。この端末秘密鍵は、端末2のみに既知であり、検証情報を暗号化解除することができる唯一のものである。具体的には、ポイント1.1.1において想起されるように、非対称暗号化の場合、公開鍵を使用して暗号化された情報は、この同じ公開鍵を使用して暗号化解除することはできず:この公開鍵に関連付けられた秘密鍵のみが、情報の暗号化解除を可能にする。
【0085】
端末2は検証情報を確認メッセージに組み込む。確認メッセージは端末2によってプローブ1に送信される(170)。
【0086】
プローブ1は確認メッセージを受信し(180)、確認メッセージから検証情報を抽出する。
【0087】
次いでプローブ(190)は、
確認メッセージの検証情報、
プローブ1によって送信された応答メッセージに含まれる検証情報
を比較する。
確認メッセージの検証情報、
プローブ1によって送信された応答メッセージに含まれる検証情報
を比較する。
【0088】
比較が肯定である(確認メッセージ及び応答メッセージの検証情報が一致する)場合、プローブ1は端末2にアドレス指定された真正妥当メッセージを発する(200)。第2のダイアログフェーズ300を実施することができる。
【0089】
比較が否定である(確認メッセージ及び応答メッセージの検証情報が一致しない)場合、プローブ1はエラーメッセージを発し(195)、プローブ1と端末2との間のペアリングを拒絶する。
【0090】
したがって、第1のダイアログフェーズ100は、プローブが、端末公開鍵を含む端末証明書を使用して端末2を認証できるようにする:
この証明書の署名の検証-プラットフォーム公開鍵を使用 は、証明書が実際に高信頼性機関(即ちプラットフォーム)によって送信されたことをプローブが確認できるようにし、
端末公開鍵に基づいて暗号化された検証情報の交換は、この証明書をアドレス指定したエンティティが実際に、高信頼性機関がこの証明書を生成したエンティティであることを確認できるようにする。
この証明書の署名の検証-プラットフォーム公開鍵を使用 は、証明書が実際に高信頼性機関(即ちプラットフォーム)によって送信されたことをプローブが確認できるようにし、
端末公開鍵に基づいて暗号化された検証情報の交換は、この証明書をアドレス指定したエンティティが実際に、高信頼性機関がこの証明書を生成したエンティティであることを確認できるようにする。
【0091】
2.3.第2のダイアログフェーズ
先に示したように、第2のダイアログフェーズ300は端末2がプローブ1を認証できるようにする。
先に示したように、第2のダイアログフェーズ300は端末2がプローブ1を認証できるようにする。
【0092】
第1のステップにおいて、端末2は、プローブ1にアドレス指定された証明書要求メッセージを発する(310)。
【0093】
プローブ1は証明書要求メッセージを受信し(320)、プローブ証明書が組み込まれた結果メッセージを生成する。有利なことに、詐欺の高信頼性第三者エンティティによる、結果メッセージが含む情報の傍受リスクを制限するために、結果メッセージは端末公開鍵を使用して暗号化することができる。
【0094】
プローブ1は、端末2にアドレス指定された結果メッセージを送信する(330)。
【0095】
端末2は結果メッセージを受信して暗号化解除し、プローブ証明書を抽出する。端末2は、顧客アカウントへのサブスクリプション時にメモリに記憶されたプラットフォーム公開鍵とプローブ証明書の署名を比較することによってプローブ証明書の真正性を検証する(340)。
【0096】
プローブ証明書が真正である場合、端末1はプローブ証明書に含まれるプローブ公開鍵を抽出し(350)、内部メモリに記録する。このプローブ鍵は「セッション鍵」の生成に使用される。端末証明書が真正ではない場合、エラーメッセージが送信される(345)。
【0097】
端末2は検証情報(例えば一連の乱数)を生成し、プローブ公開鍵を使用して検証情報を暗号化し、正当化メッセージに組み込む。この正当化メッセージは端末2によってプローブ1に送信される(360)。
【0098】
プローブ1は正当化メッセージを受信し(370)、プローブ1のみに既知のプローブ秘密鍵を使用して検証情報を暗号化解除する。
【0099】
プローブ1は検証情報を証明メッセージに組み込む。証明メッセージはプローブによって端末2に送信される(380)。
【0100】
端末は証明メッセージを受信し(390)、証明メッセージから検証情報を抽出する。
【0101】
次いで端末は、
証明メッセージの検証情報を
端末2によって先に送信された正当化メッセージに含まれる検証情報と
比較する(400)。
証明メッセージの検証情報を
端末2によって先に送信された正当化メッセージに含まれる検証情報と
比較する(400)。
【0102】
比較が肯定である(メッセージの検証情報が一致する)場合、端末2はプローブ1に真正妥当メッセージを発する(410)。プローブ及び端末はペアリングされる。
【0103】
比較が否定である(メッセージの検証情報が一致しない)場合、端末2はエラーメッセージを発し(405)、プローブ1と端末2とのペアリングを拒絶する。
【0104】
3.検査
第1及び第2のダイアログフェーズ100、300が実行され、認証に成功すると、プローブ1及び端末2はペアリングされる。ペアリング確認メッセージをプローブ1又は端末2によってプラットフォーム3に送信することができる。
第1及び第2のダイアログフェーズ100、300が実行され、認証に成功すると、プローブ1及び端末2はペアリングされる。ペアリング確認メッセージをプローブ1又は端末2によってプラットフォーム3に送信することができる。
【0105】
次いでシステムの各エンティティは、プローブ公開鍵及び端末公開鍵に基づいてセッション鍵を生成する。具体的には、プローブ及び端末公開鍵は、
プローブのメモリ(プローブ公開鍵はプローブ製造時に記録され、端末公開鍵は、第1のダイアログフェーズ100の実施時に記録される)、
端末のメモリ(プローブ公開鍵は、第2のダイアログフェーズの実施時に端末2のメモリに記録され、端末公開鍵は、顧客アカウントへのサブスクリプション時に端末のメモリに記録される)、
プラットフォームの記憶ユニット(プローブ公開鍵及び端末公開鍵はプローブテーブル及び端末テーブルに含まれ、プローブ/端末対応性テーブルを使用して、各端末と関連付けられたプローブを定義する)
に記憶される。
プローブのメモリ(プローブ公開鍵はプローブ製造時に記録され、端末公開鍵は、第1のダイアログフェーズ100の実施時に記録される)、
端末のメモリ(プローブ公開鍵は、第2のダイアログフェーズの実施時に端末2のメモリに記録され、端末公開鍵は、顧客アカウントへのサブスクリプション時に端末のメモリに記録される)、
プラットフォームの記憶ユニット(プローブ公開鍵及び端末公開鍵はプローブテーブル及び端末テーブルに含まれ、プローブ/端末対応性テーブルを使用して、各端末と関連付けられたプローブを定義する)
に記憶される。
【0106】
したがって、同一のセッション鍵がプローブ、端末、及びプラットフォームによって独立して生成される。したがって、このセッション鍵は異なるエンティティ間で伝送されず、それにより、続く不正リスクを制限する。
【0107】
セッション鍵は、対称暗号化モードに従って交換されたデータの暗号化/暗号化解除に使用される(セッション鍵はデータの暗号化及び暗号化解除の両方に使用される)。セッション鍵は、検査実施中、
プローブ1にアドレス指定された/プローブ1から受信されたメッセージの暗号化/暗号化解除、
端末2にアドレス指定された/端末2から受信されたメッセージの暗号化/暗号化解除、
プラットフォーム3にアドレス指定された/プラットフォーム3から受信されたメッセージの暗号化/暗号化解除
に使用される。
プローブ1にアドレス指定された/プローブ1から受信されたメッセージの暗号化/暗号化解除、
端末2にアドレス指定された/端末2から受信されたメッセージの暗号化/暗号化解除、
プラットフォーム3にアドレス指定された/プラットフォーム3から受信されたメッセージの暗号化/暗号化解除
に使用される。
【0108】
セッション鍵の有効性の持続時間は関わる用途のタイプに依存する。患者の検査の場合、数十分であることができ、又は緊急車両における撮像セッション(可動)の場合、数時間/数日であることができる。
【0109】
セッション鍵は、
一方ではシステムデータの完全性、他方では医療データの機密性:認証されたプローブ1、端末2、及びプラットフォーム3のみが、データへのアクセスを可能にするセッション鍵を有する、
医療データの信頼性:セッション鍵は各検査に一意である(したがって、幾つかの連続した検査が同一のユーザによって同一の患者に対して実行される場合、これらの異なる検査に関連するデータの混乱リスクがなく、セッション鍵と検査との対応性は一対一である)
を保証する。
一方ではシステムデータの完全性、他方では医療データの機密性:認証されたプローブ1、端末2、及びプラットフォーム3のみが、データへのアクセスを可能にするセッション鍵を有する、
医療データの信頼性:セッション鍵は各検査に一意である(したがって、幾つかの連続した検査が同一のユーザによって同一の患者に対して実行される場合、これらの異なる検査に関連するデータの混乱リスクがなく、セッション鍵と検査との対応性は一対一である)
を保証する。
【0110】
有利なことに、プローブの公開鍵及び秘密鍵は、端末が機密情報項目にアクセスせずに、端末2を介してプラットフォーム3とプローブ1との間でこれらの機密情報項目を交換するのに使用し得る。例えば、これらの機密情報項目の本質は、プローブを駆動する命令にある。具体的には、プローブの構成の1つのシーケンス(又は複数のシーケンス)は、(審査の一部としてのデータ取得用)特にプローブ1のメモリ容量が限られていることに起因して、プラットフォーム3からプローブ1に直接送信することができない。これは、端末2が何故、この1つのシーケンス(又はこれらの複数のシーケンス)を記憶し、それ(又はそれら)を順次プローブ1に送信するのに使用することができるかの理由である。プローブの公開鍵及び秘密鍵を使用してこれらの駆動命令を非対称暗号化することにより、端末が駆動命令にアクセスできない状態で端末を介して駆動命令を送信することが可能である。端末が非対称暗号化された駆動命令にアクセスすることができないこと(プローブ公開鍵及び秘密鍵に基づいて)により、患者の生体組織への超音波エネルギーの堆積を駆動するデータの完全性を保証することが可能になる。
【0111】
検査の終了は、端末2を使用することによってユーザによってスケジュールすることができる。この場合、端末2はプローブ1及びプラットフォーム3に検査終了コマンドメッセージを送信する。検査に関連する特定の医療データがプローブ1によって取得されておらず、且つ/又はプラットフォーム3によって処理されていない場合、プローブ1及びプラットフォーム3は、検査終了コマンドが実際には考慮されておらず、これが、プローブ1による医療データの取得及び/又はプラットフォーム3による医療データの処理が完了した瞬間から有効であることを示す許容メッセージを送信することができる。
【0112】
4.結び
先に定義した発明は、インターネット型ネットワークを使用してシステムの異なる認証済みエンティティ間でのデータの完全で信頼性の高い交換を可能にする。
先に定義した発明は、インターネット型ネットワークを使用してシステムの異なる認証済みエンティティ間でのデータの完全で信頼性の高い交換を可能にする。
【0113】
本明細書に記載の新しい教示及び利点から実質的に逸脱せずに、上述した発明に多くの変更を行い得ることが理解されよう。
【0114】
したがって、この種の全ての変更は添付の特許請求の範囲の範囲内で行われることが意図される。
【図1】
【図2】
【図3】
【国際調査報告】